Bidh strain ùr de ransomware a’ crioptachadh fhaidhlichean agus a’ cur leudachadh “.SaveTheQueen” orra, a’ sgaoileadh tro phasgan lìonra SYSVOL air riaghladairean àrainn Active Directory.
Thachair ar luchd-ceannach ris an malware seo o chionn ghoirid. Bidh sinn a’ taisbeanadh ar mion-sgrùdadh iomlan, na toraidhean aige agus na co-dhùnaidhean gu h-ìosal.
Lorg
Chuir aon den luchd-ceannach againn fios thugainn às deidh dhaibh coinneachadh ri seòrsa ùr de ransomware a bha a’ cur an leudachadh “.SaveTheQueen” ri faidhlichean crioptaichte ùra san àrainneachd aca.
Rè an sgrùdaidh againn, no an àite aig an ìre de bhith a’ sireadh tobraichean gabhaltachd, fhuair sinn a-mach gun deach cuairteachadh agus lorg luchd-fulaing gabhaltach a dhèanamh a’ cleachdadh pasgan lìonra SYSVOL air rianadair fearainn an neach-ceannach.
Tha SYSVOL na phrìomh phasgan airson gach rianadair àrainn a thathas a’ cleachdadh gus Rudan Poileasaidh Buidhne (GPOs) a lìbhrigeadh agus sgriobtaichean logadh a-steach agus logoff gu coimpiutairean san raon. Bithear ag ath-aithris susbaint a’ phasgain seo eadar luchd-riaghlaidh fearainn gus an dàta seo a shioncronachadh thar làraich na buidhne. Feumaidh sgrìobhadh gu SYSVOL sochairean fearainn àrd, ach, aon uair ‘s gu bheil e air a chuir an sàs, bidh an so-mhaoin seo gu bhith na inneal cumhachdach dha luchd-ionnsaigh as urrainn a chleachdadh gus luchdan pàighidh droch-rùnach a sgaoileadh gu sgiobalta agus gu h-èifeachdach thar raon.
Chuidich sèine sgrùdaidh Varonis gu sgiobalta gus na leanas a chomharrachadh:
- Chruthaich an cunntas cleachdaiche gabhaltach faidhle leis an t-ainm “uair a thìde” ann an SYSVOL
- Chaidh mòran fhaidhlichean log a chruthachadh ann an SYSVOL - gach fear air ainmeachadh le ainm inneal fearainn
- Bha mòran sheòlaidhean IP eadar-dhealaichte a 'faighinn cothrom air an fhaidhle "uair a thìde".
Cho-dhùin sinn gun deach na faidhlichean log a chleachdadh gus sùil a chumail air a’ phròiseas gabhaltachd air innealan ùra, agus gur e obair chlàraichte a bh’ ann “gach uair” a chuir an gnìomh uallach pàighidh droch-rùnach air innealan ùra a’ cleachdadh sgriobt Powershell - sampaill “v3” agus “v4”.
Tha e coltach gun d’ fhuair agus chleachd an neach-ionnsaigh sochairean rianadair fearainn gus faidhlichean a sgrìobhadh gu SYSVOL. Air luchd-aoigheachd gabhaltach, ruith an neach-ionnsaigh còd PowerShell a chruthaich obair clàr gus an malware fhosgladh, a dhì-chrioptachadh agus a ruith.
A’ dì-chrioptachadh an malware
Dh'fheuch sinn grunn dhòighean gus sampallan a lorg gun fheum:
Bha sinn cha mhòr deiseil airson a leigeil seachad nuair a chuir sinn romhainn feuchainn air an dòigh “Magic” den eireachdail
còrdaidhean le GCHQ. Bidh Magic a’ feuchainn ri tomhas a dhèanamh air crioptachadh faidhle le bhith a’ sparradh faclan-faire brùideil airson diofar sheòrsaichean crioptachaidh agus a’ tomhas entropy.
Nota an eadar-theangair Faic и . Chan eil an artaigil agus na beachdan seo a’ toirt a-steach deasbad leis na h-ùghdaran air mion-fhiosrachadh mu dhòighean a chaidh a chleachdadh ann am bathar-bog treas-phàrtaidh no seilbh.
Cho-dhùin Magic gun deach pacadh GZip le còd base64 a chleachdadh, agus mar sin bha e comasach dhuinn am faidhle a dhì-dhùmhlachadh agus an còd stealladh a lorg.
Dropper: “Tha ar-a-mach san sgìre! Banachdachan coitcheann. Galar coise is beul"
Bha an dropper na fhaidhle .NET cunbhalach gun dìon sam bith. Às deidh dhut an còd stòr a leughadh le thuig sinn gur e an aon adhbhar a bh’ aige a bhith a’ stealladh slige-chòd a-steach don phròiseas winlogon.exe.
Shellcode no duilgheadasan sìmplidh
Chleachd sinn an inneal ùghdarrachaidh Hexacorn - gus “an còd slige a chuir ri chèile” ann am faidhle so-ghnìomhaichte airson debugging agus mion-sgrùdadh. Fhuair sinn a-mach an uairsin gun robh e ag obair air gach cuid innealan 32 agus 64 bit.
Faodaidh e a bhith duilich eadhon còd slige sìmplidh a sgrìobhadh ann an eadar-theangachadh cànan cruinneachaidh dùthchasach, ach tha feum air sgilean mionlach a bhith a’ sgrìobhadh còd slige iomlan a bhios ag obair air an dà sheòrsa de shiostaman, agus mar sin thòisich sinn a’ cur iongnadh air sòghalachd an neach-ionnsaigh.
Nuair a rinn sinn parsadh air a’ chòd shlige cruinn a’ cleachdadh , mhothaich sinn gu robh e a 'luchdachadh Leabharlannan fiùghantach .NET , leithid clr.dll agus mscoreei.dll. Bha coltas neònach air seo dhuinn - mar as trice bidh luchd-ionnsaigh a’ feuchainn ris a’ chòd slige a dhèanamh cho beag sa ghabhas le bhith a’ gairm gnìomhan dùthchasach OS an àite an luchdachadh. Carson a dh’ fheumadh duine gnìomhachd Windows fhighe a-steach don chòd shlige an àite a bhith ga ghairm gu dìreach air iarrtas?
Mar a thionndaidh e a-mach, cha do sgrìobh ùghdar an malware an còd slige iom-fhillte seo idir - chaidh bathar-bog a bha sònraichte don ghnìomh seo a chleachdadh gus faidhlichean so-ghnìomhaichte agus sgriobtaichean eadar-theangachadh gu shellcode.
Lorg sinn inneal , a bha sinn a’ smaoineachadh a dh’ fhaodadh còd slige den aon seòrsa a chuir ri chèile. Seo an tuairisgeul aige bho GitHub:
Bidh Donut a’ gineadh x86 no x64 shellcode bho VBScript, JScript, EXE, DLL (a’ toirt a-steach co-chruinneachaidhean .NET). Faodar an còd slige seo a chuir a-steach do phròiseas Windows sam bith airson a chuir gu bàs
cuimhne ruigsinneachd air thuaiream.
Gus ar teòiridh a dhearbhadh, chuir sinn ri chèile ar còd fhèin a’ cleachdadh Donut agus rinn sinn coimeas eadar e agus an sampall - agus... tha, lorg sinn pàirt eile den inneal a chaidh a chleachdadh. Às deidh seo, bha sinn mu thràth comasach air am faidhle so-ghnìomhaichte .NET tùsail a thoirt a-mach agus a sgrùdadh.
Dìon còd
Chaidh bacadh a chur air an fhaidhle seo le bhith a' cleachdadh :
Tha ConfuserEx na phròiseact .NET le còd fosgailte airson còd leasachaidhean eile a dhìon. Tha an clas seo de bhathar-bog a’ leigeil le luchd-leasachaidh an còd aca a dhìon bho innleadaireachd cùil a’ cleachdadh dhòighean leithid ionadachadh charactaran, masgadh sruth-òrdugh smachd, agus falach dòighean iomraidh. Bidh ùghdaran malware a’ cleachdadh innealan-fuadain gus lorg a sheachnadh agus innleadaireachd cùil a dhèanamh nas duilghe.
Tapadh leibh chuir sinn às don chòd:
Toradh - pàighidh pàighidh
Is e bhìoras ransomware gu math sìmplidh a th’ anns an uallach pàighidh a thig às. Chan eil uidheamachd ann gus dèanamh cinnteach gu bheil làthaireachd san t-siostam, gun cheangal ris an ionad stiùiridh - dìreach seann chrioptachadh neo-chunbhalach gus dàta an neach-fulaing a dhèanamh neo-leughaidh.
Bidh am prìomh ghnìomh a’ taghadh na loidhnichean a leanas mar pharaimearan:
- Leudachadh faidhle ri chleachdadh às deidh crioptachadh (SaveTheQueen)
- Post-d an ùghdair ri chur ann am faidhle nota airgead-airgid
- Iuchair phoblach air a chleachdadh gus faidhlichean a chrioptachadh
Tha am pròiseas fhèin a 'coimhead mar seo:
- Bidh an malware a’ sgrùdadh draibhearan ionadail agus ceangailte air inneal an neach-fulang
- Lorg faidhlichean airson a chrioptachadh
- A’ feuchainn ri crìoch a chuir air pròiseas a tha a’ cleachdadh faidhle a tha e gu bhith air a chrioptachadh
- Ag ath-ainmeachadh an fhaidhle gu "OriginalFileName.SaveTheQueenING" a' cleachdadh gnìomh MoveFile agus ga chrioptachadh
- Às deidh don fhaidhle a bhith air a chrioptachadh le iuchair phoblach an ùghdair, bidh an malware ag ath-ainmeachadh a-rithist, a-nis gu "Original FileName.SaveTheQueen"
- Tha faidhle le iarrtas airgead-fuadain air a sgrìobhadh chun aon phasgan
Stèidhichte air cleachdadh na gnìomh dùthchasach "CreateDecryptor", tha e coltach gu bheil inneal dì-chrioptachaidh ann am paramadair a dh’ fheumas iuchair phrìobhaideach ann an aon de na gnìomhan aig malware.
Bhìoras Ransomware CHAN EIL faidhlichean a chrioptachadh, air a stòradh ann an clàran:
c: uinneagan
C: Faidhlichean Prògraim
C: File Files (x86)
C: Users\AppData
C: inetpub
Tha e cuideachd CHAN EIL na seòrsaichean faidhle a leanas a chrioptachadh:EXE, DLL, MSI, ISO, SYS, CAB.
Toraidhean agus co-dhùnaidhean
Ged nach robh feartan neo-àbhaisteach sam bith anns an ransomware fhèin, chleachd an neach-ionnsaigh Active Directory gu cruthachail gus an dropper a sgaoileadh, agus thug an malware fhèin cnapan-starra inntinneach dhuinn, ma bha e neo-shìmplidh aig a’ cheann thall, rè mion-sgrùdadh.
Tha sinn den bheachd gur e ùghdar an malware:
- Sgrìobh bhìoras ransomware le in-stealladh a-steach don phròiseas winlogon.exe, a bharrachd air
crioptachadh faidhle agus gnìomhachd dì-chrioptachaidh - Chuir e am falach an còd droch-rùnach a’ cleachdadh ConfuserEx, thionndaidh e an toradh le bhith a’ cleachdadh Donut agus a bharrachd air sin chuir e am falach am bonn64 Gzip dropper
- Fhuair sinn sochairean àrda ann an raon an neach-fulaing agus chleachd iad iad airson lethbhreac a dhèanamh
malware crioptaichte agus obraichean clàraichte gu pasgan lìonra SYSVOL de luchd-riaghlaidh fearainn - Ruith sgriobt PowerShell air innealan fearainn gus malware a sgaoileadh agus adhartas ionnsaigh a chlàradh ann an logaichean ann an SYSVOL
Ma tha ceistean agad mun chaochladh seo den bhìoras ransomware, no sgrùdadh tachartas forensics agus cybersecurity sam bith eile a rinn na sgiobaidhean againn, no iarrtas , far am bi sinn an-còmhnaidh a’ freagairt cheistean ann an seisean Q&A.
Source: www.habr.com